Zabezpečení aplikací a funkce DevSecOps
Cílem zabezpečení aplikací a DevSecOps je integrovat záruky zabezpečení do vývojových procesů a vlastních obchodních aplikací.
Modernizace
Vývoj aplikací se rychle mění v různých aspektech současně, včetně týmového modelu DevOps, rychlého tempa vydávání verzí DevOps a technického složení aplikací prostřednictvím cloudových služeb a rozhraní API. Podívejte se, jak cloud mění vztahy zabezpečení a odpovědnosti, abyste těmto změnám porozuměli.
Tato modernizace zastaralých vývojových modelů představuje příležitost i požadavek na modernizaci zabezpečení aplikací a vývojových procesů. Sloučení zabezpečení do procesů DevOps se často označuje jako DevSecOps a vede k změnám, mezi které patří:
- Zabezpečení je integrované, nikoli mimo schválení: Díky rychlému tempu vývoje aplikací jsou klasické přístupy "skenování a hlášení" zastaralé. Tyto starší přístupy nemůžou držet krok s vydanými verzemi, aniž by se zastavil vývoj a vytvořily prodlevy pro uvedení na trh, nedostatečné využití vývojářů a růst backlogu problémů.
- Přejděte doleva a zapojte zabezpečení do procesů vývoje aplikací dříve, protože řešení dřívějších problémů je levnější, rychlejší a efektivnější. Pokud počkáte, až po upečení dortu, je těžší změnit tvar.
- Nativní integrace: Postupy zabezpečení se musí bezproblémově integrovat, aby se zabránilo nezdravým třenicím v pracovních postupech vývoje a procesech kontinuální integrace/průběžného nasazování (CI/CD). Další informace o přístupu ke GitHubu najdete v tématu Zabezpečení softwaru společně.
- Vysoce kvalitní zabezpečení: Zabezpečení musí poskytovat vysoce kvalitní zjištění a pokyny, které vývojářům umožní rychle opravit problémy a neztrácet čas vývojáři falešně pozitivními výsledky.
- Konvergovaná jazyková verze: Role zabezpečení, vývoje a provozu by měly přispívat klíčovými prvky ke sdílené kultuře, sdíleným hodnotám a sdíleným cílům a odpovědnostem.
- Agilní zabezpečení: Přesun zabezpečení z přístupu "musí být perfektní až po odeslání" na agilní přístup, který začíná minimálním životaschopným zabezpečením pro aplikace (a pro procesy jejich vývoje), které se neustále vylepšuje postupně.
- Osvojit si nativní cloudovou infrastrukturu a funkce zabezpečení, které zjednoduší vývojové procesy a současně integrují zabezpečení.
- Řízení rizik dodavatelského řetězce: U opensourcového softwaru (OSS) a komponent třetích stran použijte přístup nulové důvěryhodnosti, který ověří jejich integritu a zajistí, aby se na tyto komponenty použily opravy chyb a aktualizace.
- Průběžné učení: Rychlé tempo vydávání vývojářských služeb, které se někdy označují jako služby PaaS (platforma jako služba), a změna složení aplikací znamená, že členové vývojového, provozního týmu a týmu zabezpečení se budou neustále učit nové technologie.
- Programový přístup k zabezpečení aplikací, aby se zajistilo průběžné vylepšování agilního přístupu.
Další kontext najdete v tématu Životní cyklus zabezpečeného vývoje Microsoftu.
Složení týmu a klíčové vztahy
Funkce zabezpečení aplikací a DevSecOps ideálně provádějí vývojáři a provozní týmy s podporou zabezpečení (s podporou odborníků na danou problematiku zabezpečení).
Tato funkce často komunikuje s dalšími funkcemi a odborníky, mezi které patří:
- Architektura zabezpečení a operace
- Zabezpečení infrastruktury
- Komunikace (školení a nástroje)
- Zabezpečení osob
- Identita a klíče
- Týmy pro dodržování předpisů a řízení rizik
- Hlavní vedoucí pracovníci podniku nebo jejich zástupci
Další kroky
Zkontrolujte funkci zabezpečení dat.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro